8.12. 身份管理
现在,常规用户的分页搜索不会影响性能
在以前的版本中,当目录服务器位于搜索负载下时,常规用户的分页搜索可能会影响服务器性能,因为锁与轮询网络事件的线程发生冲突。另外,如果在发送页搜索时发生网络问题,则整个服务器都没有响应,直到 nsslapd-iotimeout
参数过期为止。有了此更新,锁被分成几个部分,以避免与网络事件争用。因此,在常规用户的分页搜索过程中不会影响性能。
模式复制现在可以在目录服务器中正常工作
在以前的版本中,当目录服务器将模式复制到新服务器时,它会将所有模式添加到远程副本上的 99user.ldif
文件中。这似乎都是自定义模式,因为对所有定义,X-ORIGIN
关键字都设为了 user defined
。因此,可能会导致 web 控制台出现问题,也可能导致对监控架构并期望 X-ORIGIN
关键字有特定值的客户出现问题。有了此更新,模式复制可以按预期工作。
Referra 模式现在可以在目录服务器中正常工作
在以前的版本中,CLI 将 nsslapd-referral
配置属性设置为后端,而不是映射树。因此,referral 模式无法正常工作。有了此更新,nsslapd-referral
属性会被正确设置,referral 模式可以按预期工作。
LMDB 导入现在可以更快地工作
在以前的版本中,要构建 entryrdn
索引,LMDB 导入 worker 线程会等待其他 worker 线程,以确保父条目被处理。这会产生锁竞争,从而大大减慢导入速度。有了此更新,通过 LMDB 数据库的 LDIF 导入已被重新设计,提供者线程会在 worker 线程用来构建 entryrdn
索引的临时数据库中存储有关条目 RDN 及其父级的数据。因此,不再需要 worker 线程同步,平均导入率更佳。
请注意,LMDB 导入速率仍然比 BDB 导入慢三倍,因为 LMDB 不支持并发写事务。
dirsrv
服务现在在重启后正确启动
在以前的版本中,dirsrv
服务在重启后无法启动,因为 dirsrv
服务没有明确等待 systemd-tmpfiles-setup.service
完成。这会导致竞争条件。有了此更新,dirsrv
服务会等待 systemd-tmpfiles-setup.service
完成,重启后不再无法启动。
更改安全参数现在可以正常工作
在以前的版本中,当使用 dsconf instance_name security set
命令更改安全参数时,操作会失败并显示错误:
Name 'log' is not defined
有了此更新,security 参数更改可以正常工作。
SSSD 现在在评估基于 GPO 的访问控制时使用 sAMAccountName
在以前的版本中,如果 ldap_user_name
在 AD 客户端上被设置为 sAMAccountName
以外的值,则基于 GPO 的访问控制失败。有了此更新,在评估基于 GPO 的访问控制时,SSSD 总是使用 sAMAccountName
。即使 ldap_user_name
在 AD 客户端上被设置为与 sAMAccountName
不同的值,基于 GPO 的访问控制现在也可以正常工作。
在检索用户时,SSSD 现在可以处理 user_attributes
选项中的重复属性
在以前的版本中,如果 sssd.conf
在 user_attributes
选项中包含重复属性,则 SSSD 无法正确处理这些重复。因此,具有这些属性的用户无法被检索。有了此更新,SSSD 可以正确地处理重复。因此,具有重复属性的用户现在可以被检索。
现在,动态 Kerberos PAC 票据签名强制机制修复了 IdM 中的跨版本不兼容
在以前的版本中,如果您的身份管理(IdM)部署的服务器同时在 RHEL 9 和 RHEL 8 上运行,则由 Privilege Attribute 证书(PAC)票据签名支持的上游实现导致的不兼容性会导致某些操作失败。有了此更新,RHEL 9 中的动态票据签名强制机制功能的实现修复了这个跨版本不兼容。要使这个功能实际生效,您必须:
- 更新 域中的所有服务器。
- 重启所有 IdM Kerberos 分发中心(KDC)服务。
这两个操作的顺序非常重要。启动时,KDC 会查询域中所有其他服务器的元数据,以检查它们是否都支持 PAC 票据签名。否则,签名不会被强制执行。
有关动态 Kerberos PAC 票据签名强制机制的更多信息,包括受限委托请求的示例,请参阅此 知识库文章。
JIRA:RHELDOCS-17011[1], Bugzilla:2182683,Bugzilla:2178298
现在不再允许删除 IdM admin
用户
在以前的版本中,如果您是 admins
组的成员,则无法阻止您删除身份管理(IdM) admin
用户。缺少 admin
用户会导致 IdM 和活动目录(AD)之间的信任停止正常工作。有了此更新,您可以不再删除 admin
用户。因此,IdM-AD 信任可以正常工作。
ipa-kdb
不再导致 krb5kdc
失败
在以前的版本中,ipa-kdb
驱动程序不会区分没有服务器主机对象和连接失败。因此,krb5kdc
服务器有时会意外停止,由于与 LDAP 服务器的连接问题产生的 NULL
LDAP 上下文。
有了此更新,ipa-kdb
驱动程序可以正确地识别连接失败,并将它们与没有服务器主机对象进行区分。因此,krb5kdc
服务器不会再失败。
IdM 客户端安装程序不再在 ldap.conf
文件中指定 TLS CA 配置
在以前的版本中,IdM 客户端安装程序在 ldap.conf
文件中指定 TLS CA 配置。有了此更新,OpenSSH 使用默认的信任存储,IdM 客户端安装程序不会在 ldap.conf
文件中设置 TLS CA 配置。
当可信 AD 用户的名称包含混合问题单字符时,IdM 客户端可以正确地检索它们的信息
在以前的版本中,如果您尝试用户查找或用户的身份验证,并且可信活动目录(AD)用户在其名称中包含混合大小写字符,且在 IdM 中使用覆盖进行了配置,则会返回一个错误,阻止用户访问 IdM 资源。
随着 RHBA-2023:4359 的发布,区分大小写的比较将被忽略字符大小写的不区分大小写的比较替代。因此,IdM 客户端现在可以查找 AD 可信域的用户,即使其用户名包含混合大小写字符,且它们在 IdM 中使用覆盖进行了配置。
JIRA:SSSD-6096